Embed Size (px)
Citation preview
20分でわかる
イマドキのサイバー攻撃
2015/05/13 MWS 2015 意見交換会
JPCERT/CC 分析センター
中津留 勇
Copyright©2015JPCERT/CC All rights reserved.
1
今回の内容
目的
• 研究動向に左右されない、サイバー攻撃の動向紹介 • 動向調査時間の削減 • 研究の幅の拡大、方向性チェック
前提
• 紹介するのは、以下のマルウェア関連情報の「一部」 • JPCERT/CC に報告のあったインシデント • 日本国内で話題になったインシデント
Copyright©2015JPCERT/CC All rights reserved.
DRIVE-BY-DOWNLOAD 攻撃
2
Copyright©2015JPCERT/CC All rights reserved.
Web ブラウザやアドオンを狙った攻撃
3
Drive-by-Download 攻撃
Copyright©2015JPCERT/CC All rights reserved.
改ざん内容の変化
4
Copyright©2015JPCERT/CC All rights reserved.
Exploit Kit の現在
5
脆弱性情報
分析の難しさ
インシデント対応において見るもの
• Angler Exploit Kit
• Nuclear Exploit Kit
• RIG Exploit Kit
• Fiesta Exploit Kit
• 製品の移り変わり、リーク版の減少 • 難読化の強化
Copyright©2015JPCERT/CC All rights reserved.
ランサムウェア
6
Copyright©2015JPCERT/CC All rights reserved.
ランサムウェアの日本語対応
代表的なランサムウェアが日本語対応
7
http://blog.trendmicro.co.jp/archives/8801
http://blog.trendmicro.co.jp/archives/11378
Copyright©2015JPCERT/CC All rights reserved.
ファイルの暗号化による脅迫
8
Copyright©2015JPCERT/CC All rights reserved.
Drive-by-Download との関係
Angler Exploit Kit -> TeslaCrypt/AlphaCrypt
9
https://isc.sans.edu/forums/diary/Angler+exploit+kit+pushes+new+variant+of+ransomware/19681
Copyright©2015JPCERT/CC All rights reserved.
不正送金に関連するマルウェア
10
Copyright©2015JPCERT/CC All rights reserved.
バンキングトロイ
Web/HTTP Injects と呼ばれる機能が代表的
11
Copyright©2015JPCERT/CC All rights reserved.
現在日本で見かけるバンキングトロイ
ZeuS, Citadel, Gameover の時代は終焉
12
Vawtrak Dyre Tsukuba
Tinba Dridex Chthonic
Copyright©2015JPCERT/CC All rights reserved.
proxy.pac を用いる手法
受信データの書き換えを中間者攻撃で行う
—Internet Explorer、Chrome、Firefox など
13
Copyright©2015JPCERT/CC All rights reserved.
proxy.pac とオレオレ証明書
14
Copyright©2015JPCERT/CC All rights reserved.
マクロを用いるダウンローダの感染経路
15
Copyright©2015JPCERT/CC All rights reserved.
UAC 回避
Dridex, Vawtrak のダウンローダなどが使用
— http://www.jpcert.or.jp/magazine/acreport-uac-bypass.html
16
Copyright©2015JPCERT/CC All rights reserved.
標的型攻撃
17
Copyright©2015JPCERT/CC All rights reserved.
2014年度の傾向: ファイルタイプと脆弱性
実行ファイルと、2014年に発見された脆弱性を悪用する文書
18
一太郎・MS Office
Copyright©2015JPCERT/CC All rights reserved.
傾向分析: アイコン偽装
拡張子偽装と組み合わせて使用
—正規アイコンからフリー素材まで様々
19
Word 文書 Excel 文書 PDF 文書
JPEG 画像 システムアイコン その他
Copyright©2015JPCERT/CC All rights reserved.
より高度な標的型攻撃
20
http://www.lac.co.jp/security/alert/2013/10/09_alert_01.html
http://www.gomplayer.jp/player/notice/view.html?intSeq=300&page=1
Copyright©2015JPCERT/CC All rights reserved.
事例: Drive-by-Download 型
21
Copyright©2015JPCERT/CC All rights reserved.
事例: 自動アップデート機能の悪用
22
Copyright©2015JPCERT/CC All rights reserved.
事例: ドメイン名ハイジャック
23
Copyright©2015JPCERT/CC All rights reserved.
攻撃の全容
24
Copyright©2015JPCERT/CC All rights reserved.
標的型攻撃で使用されるマルウェア/ツール
25
マルウェア
• EMDIVI/Xabil、PlugX などのボット
• UDP リモートシェル
•プロキシ
ツール系
• SQLサーバスキャンツール
• パスワードハッシュ取得ツール
• Active Directory 情報取得ツール
• アーカイバ(RAR)
Copyright©2015JPCERT/CC All rights reserved.
おまけ
26
Copyright©2015JPCERT/CC All rights reserved.
パスワードリスト攻撃ツール
辞書攻撃専用ツール
27
Copyright©2015JPCERT/CC All rights reserved.
アドウェア
28
Copyright©2015JPCERT/CC All rights reserved.
お問合せ、インシデント対応のご依頼は
30
JPCERTコーディネーションセンター
—Email:[email protected]
—Tel:03-3518-4600
—https://www.jpcert.or.jp/
インシデント報告
—Email:[email protected]
—https://www.jpcert.or.jp/form/
制御システムインシデントの報告
—Email:[email protected]
—https://www.jpcert.or.jp/ics/ics-form
![JPCERT/CC 活動概要 [ 2012 年7 月1 日 ~ 2012 年9 月30 日 ] · - 1 - JPCERT-PR-2012-02 . 発行日:2012-10-10 . 活動概要トピックス ―トピック. 1― いわゆる攻撃の特異日前後に発生するサイバー攻撃への対応](https://img.pdfslide.tips/doc/110x75/5f28ace2f27cc96f995e730c/jpcertcc-e-2012-7-oe1-i-2012-9-oe30-1-jpcert-pr-2012-02.jpg)
![JPCERT/CC [201 1 201 3 31 1.JPCERT-IR-2015-02 発行日: 2015-04-16 JPCERT/CC インシデント報告対応レポート [201年51 月1日 ~ 201年53月31日] 1. インシデント報告対応レポートについて](https://img.pdfslide.tips/doc/110x75/5f01c9837e708231d4010854/jpcertcc-201-1-201-3-31-1-jpcert-ir-2015-02-ceoe-2015-04-16-jpcertcc-ffffoeffff.jpg)
![JPCERT/CC [201 1 201 3 31 1.1 JPCERT-IR-2016-01 発行日: 2016-04-14 JPCERT/CC インシデント報告対応レポート [201 年61 月 1 日 ~ 201 年6 3 月 31 日] 1. インシデント報告対応レポートについて](https://img.pdfslide.tips/doc/110x75/5f419535c6c12700e426fe9e/jpcertcc-201-1-201-3-31-1-1-jpcert-ir-2016-01-ceoe-2016-04-14-jpcertcc.jpg)
![JPCERT/CCインシデント報告対応レポート[2018 …1 JPCERT-IR-2019-01 発行日: 2019-01-16 JPCERT/CC インシデント報告対応レポート [201年8 10月1日 ~ 201年812月31日]](https://img.pdfslide.tips/doc/110x75/5f6dc692c8a51f5ce205a968/jpcertccffffoeffff2018-1-jpcert-ir-2019-01-ceoe.jpg)
![JPCERT/CC 活動概要 [ 2011年10月1日 ~ 2011年12月31日 ] · 1 jpcert-pr-2011-0004 発行日:2012-01-12 jpcert/cc 活動概要 [ 2011年10月1日 ~ 2011年12月31日]](https://img.pdfslide.tips/doc/110x75/5ed21aa5343c9467566d55f9/jpcertcc-e-201110oe1-i-201112oe31-1-jpcert-pr-2011-0004.jpg)
![JPCERT/CCインシデント報告対応レポート[2014 …JPCERT-IR-2015-01 発行日: 2015-01-14 JPCERT/CC インシデント報告対応レポート [201年410 月1日 ~ 201年412月31日]](https://img.pdfslide.tips/doc/110x75/5f0f84107e708231d4448c7b/jpcertccffffoeffff2014-jpcert-ir-2015-01-ceoe.jpg)
